Web br 2016 São Paulo, SP 14 de outubro de 2016

Transcrição

1 Web br 2016 São Paulo, SP 14 de outubro de 2016

2 Aplicações Web e ataques DDoS: alvo ou origem? Miriam von Zuben miriam@cert.br

3 Agenda Ataques DDoS Ataques DDoS a servidores e aplicações Web Como melhorar o cenário Referências

4 Ataques DDoS

5 Ataques DDoS Ataque Distribuído de Negação de Serviço técnica pela qual um atacante utiliza, de forma coordenada e distribuída, um conjunto de equipamentos para tirar de operação um serviço, um computador ou uma rede conectada à Internet Objetivo: não é invadir exaurir recursos e causar indisponibilidade ao alvo usuários dos recursos: são diretamente afetados ficam impossibilitados de acessar/realizar as operações desejadas alvo do ataque: não consegue diferenciar os acessos legítimos dos maliciosos fica sobrecarregado ao tentar tratar todas as requisições recebidas distrair equipes de redes e segurança para realizar outros ataques

6 Ataques DDoS Simples, fáceis e baratos de serem realizados DDoS-as-a-Service / DDos-for-hire Booters, DDoSers, Stressers Russian Cybercriminal Underground Service Offerings Duração hora US$4-10 US$2-25 US$ horas US$30-70 US$15-60 US$

7 Tipos de ataques DDoS (1/3) Exaustão de recursos de hardware tentam consumir a capacidade de equipamentos e exaurir seus recursos em roteadores: tentam consumir recursos e a capacidade de encaminhamento de pps em firewalls e IPSs: tentam consumir a capacidade da tabela de estado de conexões Volumétrico medidos em Gbps / Tbps tentam exaurir a banda disponível enviando grande volume de tráfego utilizam botnets, máquinas com bastante banda, máquinas com pouca banda porém em grande quantidade exploram características de serviços UDP que permitem a amplificação do tráfego (DRDoS)

8 Tipos de ataques DDoS Volumétrico DRDoS (2/3) Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo aberto, entre outros Notificações sobre computadores participando em ataques de DoS Ano k 2k 4k 10k 20k 40k 100k 200k 400k 1M Notificações CERT.br -- by Highcharts.com

9 Tipos de ataques DDoS (3/3) Camada de aplicação procuram explorar as características específicas de uma aplicação ou serviço (camada 7), de tal maneira a: saturar recursos exceder o máximo de requisições (rps) que um servidor consegue gerenciar fazer consultas complexas aos sistemas que demandem muito processamento costumam ser mais difíceis de ser detectados podem ser confundidos com problemas de implementação da aplicação não precisam de muitas máquinas e nem de muito tráfego para serem realizados

10 Ataques usando botnets Um dos principais vetores de ataques Formadas por: máquinas de usuários comprometidas servidores Web dispositivos IoT CPEs, DVRs, CCTVs, NAS, roteadores domésticos, etc malware se propaga geralmente via telnet explora senhas fracas ou padrão muitas vezes são backdoors dos fabricantes

11 Notificações ao CERT.br: Scans por porta em 2015

12 Notificações ao CERT.br: Scans por 23/TCP 2013 a jun/ Porcentagem das Notificações de Scan Varreduras por 23/TCP 60 Porcentagem das notificações de scan por mês / / / / /2016 Período: 01/2013 a 06/2016

13 Estatísticas CERT.br 2005 a 2015 Aumento de 128% de 2015 em relação a 2014 Grande quantidade de ataques de força bruta (conta de administração) contra CMS Ataques visando o comprometimento de servidores Web ou desfigurações de páginas na Internet

14 Ataques DDoS a servidores e aplicações Web

15 Atacantes Servidores Web Motivação: Política, ideológica, econômica Aplicar e disparar golpes e ataques: DDoS, malware e phishing coleta e repositório de dados Ferramentas de ataque: amplamente disponíveis Muito visados: máquinas bem conectadas grande capacidade de processamento Aplicações Web Cada vez mais complexas e com muitas vulnerabilidades Falta de testes adequados testes apenas para casos de uso, não incluem testes de abuso Pressão econômica para serem lançadas Precisam estar acessíveis Frameworks Plugins CMS SGBD Instalação e senha padrão Muitas vulnerabilidades Necessidade de atualizações constantes nem sempre disponíveis Ferramentas de segurança Não conseguem remediar os problemas Pen test de aplicação geram efeitos a curto prazo não alteram o comportamento

16 Ataques Web são reflexo do cenário atual Empresas e instituições Segurança não é parte dos requisitos uma das primeiras a ser cortada Diversas startups que cresceram Dificuldade em: entender, lidar com os problemas Ø Segurança é paranoia, nada vai acontecer avaliar os riscos Ø informações valiosas disponibilizadas Ø imagem da empresa Administradores de redes e serviços Web Precisam correr atrás dos prejuízos troca de senhas atualizações correção de erros aplicações legadas Desenvolvedores Web Priorizam a funcionalidade em detrimento da segurança Ø aplicações just in time erros podem trazer prejuízos Ø atuais e futuros Terceirizam a segurança firewall, políticas, criptografia ultima fase do ciclo de vida do desenvolvimento da aplicação Sem capacitação para desenvolver com requisitos de segurança não aprendem aprendem só nos últimos anos cobram mais caro

17 Ataques DDoS e aplicações Web

18 Auto DDoS Porque ocorrem falhas de programação falta de testes adequados excesso de complexidade mal-dimensionamento campanhas de marketing Empresas não costumam: admitir o problema reconhecer como sendo negação de serviço

19 Aplicações como origem dos ataques Servidores invadidos Exploração de vulnerabilidades JavaScript-based DDoS inclusão de JavaScripts maliciosos invasão de sites de terceiros que hospedam JavaScripts Plugins

20 Aplicações como origem dos ataques Operação Ababil... compromised PHP Web applications were used as bots in the attacks..... many WordPress sites, often using the out-of-date TimThumb plugin Joomla and other PHP-based applications were also compromised Unmaintained sites running out-of-date extensions are easy targets and the attackers to upload various PHP webshells which were then used to further deploy attack tools...

21 Aplicações como origem dos ataques Força bruta em conta admin - Botnets

22 Aplicações como origem dos ataques

23

24

25 Alvo dos ataques Tango Down organizados via IRC, redes sociais, etc Principais motivações hacktivismo #OpOlympicHacking, #OpOperadoras, #OpIcarus extorsão ArmadaCollective, DD4BC política partidos, governo censura midia em geral, blogs de jornalistas

26 620Gbps contra o Blog do Brian Krebs

27

28 Mirai - IoT botnet

29 Como melhorar o cenário

30 Como melhorar o cenário Não é possível impedir que os ataques ocorram com planejamento adequado é possível torná-los menos eficazes e danosos Solução depende de diversas camadas Preocupação com segurança deve estar presente em todas as partes que compõe a aplicação: servidor Web framework CMS SGBD IoT maiores preocupações com segurança

31 Servidores Web (1/2) Implementar boas práticas: BCP38/BCP84 filtrar pacotes com endereços spoofados Manter os equipamentos atualizados sistema operacional e todos os serviços nele executados serviço Web, SGBD, extensões, módulos e plugins Desabilitar serviços desnecessários Ser cuidadoso ao usar e elaborar senhas se disponível, usar verificação em duas etapas

32 Servidores Web (2/2) Verificar o tráfego a procura de indícios de entrada na rede: tentativas de acesso não autorizado de saída da rede: vazamento de dados, scan e acessos indevidos partindo da rede Treinar pessoal para tratar incidentes de segurança Conhecer o comportamento normal Estar atento a sites e blogs de segurança ficar ciente de tendências de ataques e novas vulnerabilidades

33 CMS Manter o CMS e os plugins atualizados Restringir acesso à interface de administração apenas aos administradores de aplicações Não usar contas padrão de administração (admin) Usar senhas fortes se disponível, habilitar a verificação em duas etapas Seguir os guias de segurança dos fornecedores Utilizar plugins de segurança, se disponível

34 Aplicações Web (1/3) Uma das principais portas de entrada para o uso indevido dos servidores Web Segurança deve ser pensada em todas as fases: projeto, desenvolvimento, testes, entrada em produção, acompanhamento de logs, manutenção OWASP Top A1 Injeção de código A2 Quebra de autenticação e Gerenciamento de Sessão A3 Cross-Site Scripting (XSS) A4 Referência Insegura e Direta a Objetos A5 Configuração Incorreta de Segurança A6 Exposição de Dados Sensíveis A7 Falta de Função para Controle do Nível de Acesso A8 Cross-Site Request Forgery (CSRF) A9 Utilização de Componentes Vulneráveis Conhecidos A10 Redirecionamentos e Encaminhamentos Inválidos

35 Aplicações Web (2/3) Implementar a segurança no lado do servidor controles podem ser desabilitados pelos usuários Considerar o uso de WAF (Web Application Firewall) oferece recursos extras de proteção ajuda a identificar e bloquear os ataques mais comuns deve ser usado como uma camada a mais de proteção não como solução única de segurança qualquer falha que apresente pode colocar em risco toda a aplicação Não basta estar em conformidade (compliance)

36 Aplicações Web (3/3) Estar preparado para tratar notificações de usuários Testar, testar e testar: teste de carga (over provision) atenção ao carregar as aplicações no ambiente de produção considerar que serão executadas em ambiente hostil testes de abuso, não apenas de uso testar de redes externas também ferramentas: OWASP Zed Attack Proxy Project

37 Como lidar com IoT Usuário (1/2) Assumir que os dispositivos virão com sérios problemas necessário fazer hardening testar em ambiente controlado assumir que terá um backdoor do fabricante Considerar uma rede de gerência isolar os dispositivos completamente Antes de comprar verificar se o fabricante possui política de atualização de firmware

38 Como lidar com IoT Usuário (2/2) Ao fazer a implantação, planejar se haverá algum esquema de gerência remota como atualizar remotamente Ser criterioso ao escolher o fornecedor fazer testes, identificar qual o chipset, verificar histórico de tratamento de vulnerabilidades do fabricante do chipset, etc Dificuldades de fazer análise / perícia

39 Como lidar com IoT Desenvolvedores Não usar protocolos obsoletos Usar criptografia e autenticação forte Não ter senha do dia, senha padrão não documentada, reset de configuração via rede, etc Defaults seguros Atualização precisa ser possível necessário prever algum mecanismo de autenticação Usar práticas de desenvolvimento seguro

40 Referências e Leituras recomendadas

41 Referências e Leituras recomendadas Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS) Dicas para manter um ambiente Web seguro 10 Dicas para manter seu Joomla seguro Wordfence

42 Obrigada 14 de outubro de 2016